|
Warning! Spyware...-Hindergrundbild ersetzt das definierte u. manipuliert die Anzeige Liste der Anhänge anzeigen (Anzahl: 2) Hard-/Software: XP Home von Medion, SP3, ständig geupdatet, eTtrust Antivirus Windows Defender Fritz!Box 7170 Firewall -------------------------------------------------- Hallo @All, es dürfte so sein, dass jeder von uns irgendwann mit Virus-fangen dran ist. Es ist enorm gemein, was da passiert und sehr viele, so wie ich, sind machtlos und sehr hilfsbedürftig dabei. Bei mir scheinen einige auf ein Mal da zu sein. Ich fange mal mit dem Gemeinsten an: Mein Desktop hat sich insofern geändert, dass mein Hintergrundbild (es war in der Mitte plaziert) durch ein fast so großes Bild mit "Warning! Spyware detected on your Computer" usw. ersetzt wurde (s. Bild1). Auch die Hintergrundfarbe wurde in weis abgeändert. Das Schlimmste dabei ist, dass dieses nicht geändert werden kann. Beim Rechtsklick am Desktop und aus den "Eigenschaften der Anzeige" sind die zwei Reiter Desktop und Bildschirmschoner verschwunden, so dass man das alte Hintergrund-Bild nicht mehr zuweisen kann. Der WINDOWS-DEFENDER bringt bei jedem Neustart die Meldung: Name: Trojan: WIN32/Meredrop, Warnstufe: Schwerwiegend, Aktion entfernen..... -------------------------------------------- Kategorie: Trojaner Beschreibung: Dieses Programm installiert andere potenziell unerwünschte Software. Empfehlung: Entfernen Sie diese Software unverzüglich. Ressourcen: process: pid:5500 file: C:\WINDOWS\system32\drivers\781lozjc.exe process: pid:5516 file: C:\WINDOWS\System32\lanmanwrk.exe regkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\lanmanwrk.exe clean runkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\lanmanwrk.exe clean Zusammenfassung: Es ist eine Änderung an Anwendungsausführung aufgetreten. Dieser Agent überprüft die Software unmittelbar vor ihrer Ausführung. Es wird eine Warnung angezeigt, wenn ein hohes Risiko besteht, dass die Software Ihren Computer schädigt. Prüfpunkt: Ausgeführte Prozesse ---------------------------- Nach dem Klicken auf Entfernen wird die Löschung bestätigt, aber bei dem nächsten Start ist der Meredrop wieder da !!! Der Panta Active-Scan zeigt folgende Ergebnisse (s. Bild2): Der AD-Aware SE findet 3 Elemente von Antivirus XP 2008 mit Risikostufe:Niedrig Beschreibung:Antivirus XP 2008 is a rogue anti-spyware application. It may give exaggerated threat reports on the compromised computer then ask the user to purchase a registered version to remove those reported threats. Der Hijackthis zeigt dieses: -------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:17:25, on 20.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Hardware\Cherry\KeyMan\KeyMan.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Utils\INTERNET\IE5MAX\ie5max.exe C:\Hardware\Cherry\CDI\CDI.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe C:\Utils\INTERNET\HijackThis\HiJackThis-202.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/ F1 - win.ini: load=c:\elsa-mod\commpro\bin\01comm32.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\programme\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: FBFBar - {982E186D-7E13-45ac-9789-50B535246E28} - C:\Programme\FRITZ!Box Monitor\fbfbar.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [CherryKeyMan] "C:\Hardware\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" - osboot O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe O4 - Global Startup: ie5max.exe.lnk = C:\Utils\INTERNET\IE5MAX\ie5max.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Send to Keyman - C:\Hardware\Cherry\KeyMan\IEMenuExtKeyman.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .MID: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O15 - Trusted Zone: h**p://www.citibank.de O15 - Trusted Zone: *.civ-versicherung.de O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135192205250 O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Hardware\Cherry\CDI\CDI.exe O23 - Service: Indexdienst CiSvcRpcSs (CiSvcRpcSs) - Unknown owner - .exe (file missing) O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Fehlerberichterstattungsdienst ERSvcRSVP (ERSvcRSVP) - Unknown owner - .exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: NAP-Agent (Network Access Protection) napagentwinmgmt (napagentwinmgmt) - Unknown owner - .exe (file missing) O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe O23 - Service: SSDP-Suchdienst SSDPSRVnapagent (SSDPSRVnapagent) - Unknown owner - .exe (file missing) O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: Windows Media Player-Netzwerkfreigabedienst WMPNetworkSvcdmserver (WMPNetworkSvcdmserver) - Unknown owner - .exe (file missing) O23 - Service: Sicherheitscenter wscsvc0190_0900_Warner_MonitorService (wscsvc0190_0900_Warner_MonitorService) - Unknown owner - .exe (file missing) O23 - Service: Konfigurationsfreie drahtlose Verbindung WZCSVCPolicyAgent (WZCSVCPolicyAgent) - Unknown owner - .exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 10246 bytes -------------------------------------------------------------- Ich bin total verwirt, was hier alles passieret ist!!! Wie soll ich bloß hier weiter machen? Wie komme ich zu den alten Desktop ohne das Warning-Bild? Wo und wie soll ich was löschen, um die Plagegeister los zu werden? Für jede Hilfe bin ich sehr dankbar... |
Hi, gehe die Anleitung wie folgt durch: 1.) Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
2.) MalwareBytes Anti-Malware:
3.) SUPERAntiSpyware:
mfg |
Hi dark Viruz, danke für die schnelle Hilfe. Habe alle 3 geladen. 1) Die Logfile von SmitfraudFix schon erstelt. 2) MalwareBytes Anti-Malware: es gibt 27 Treffer. Soll ich sie sofort entfernen, oder muss vorher die Logfile geprüft werden? 3.) SUPERAntiSpyware: noch nicht gestartet... soll ich die gefundenen Treffer entfernen, oder muss vorher die Logfile geprüft werden? |
Anbei die zwei Logfiles: SmitFraudFix v2.338 Scan done at 20:15:20,09, 20.08.2008 Run from C:\TROJANS-VIREN\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\TROJANS-VIREN\SmitfraudFix\Policies.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Papa »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Papa\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Papa\EIGENE~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{FFE50909-FDE0-471F-A79D-1837D90C27A8}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End ############################################################ Malwarebytes' Anti-Malware 1.25Datenbank Version: 1072 Windows 5.1.2600 Service Pack 3 21:05:11 20.08.2008 mbam-log-08-20-2008 (21-04-47).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 125088 Laufzeit: 25 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 6 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 1 Infizierte Dateien: 8 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winpl02 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\winpl02 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winpl02 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32 (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\virusheat 4.4 (Rogue.VirusHeat) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmandrv (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\lanmandrv (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmandrv (Rootkit.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lanmanwrk.exe clean (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\netsearchsoft.com (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.netsearchsoft.com (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: C:\WINDOWS\system32\717305 (Trojan.BHO) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\drivers\Winpl02.sys (Rootkit.Agent) -> No action taken. C:\WINDOWS\system32\lanmanwrk.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\WinCtrl32.dl_ (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> No action taken. C:\WINDOWS\system32\lphc5ulj0erep.exe (Trojan.FakeAlert) -> No action taken. C:\WINDOWS\system32\qmopt.dll (Malware.Trace) -> No action taken. C:\WINDOWS\system32\lanmandrv.sys (Rootkit.Agent) -> No action taken. |
Von MalwareBytes bitte alle Funde löschen lassen. Also nochmal scannen. ;) |
Liste der Anhänge anzeigen (Anzahl: 1) Hi Dark Viruz, zum Glück musste ich nicht nochmals scannen. Ich habe auf die Antwort gewartet. Allerdings es konnten nicht alle 27 infizierten gelöscht werden. 5 wichtige davon sind noch da (siehe Bild) ############################################### SUPERAntiSpyware Scan Loghttp://www.superantispyware.com Generated 08/20/2008 at 09:54 PM Application Version : 4.15.1000 Core Rules Database Version : 3541 Trace Rules Database Version: 1530 Scan type : Quick Scan Total Scan Time : 00:08:00 Memory items scanned : 405 Memory threats detected : 0 Registry items scanned : 430 Registry threats detected : 0 File items scanned : 12597 File threats detected : 16 Trojan.Dropper/Gen C:\UMAX-SCANNER\UNINSTAL.EXE C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\VISTASCAN\UNINSTALLER.LNK Parasite.CoolWebSearch Variant C:\WINDOWS\01GERMAN.TXT::DYREC <- DYREC C:\WINDOWS\ITA_SUP.01L::CCJBT C:\WINDOWS\KB890047.LOG::JKNDE C:\WINDOWS\KB893086.LOG::NSCBQ C:\WINDOWS\KB902400.LOG::XRCCZN C:\WINDOWS\LIC_ITA.01T::BVBNTY C:\WINDOWS\LIC_POR.TXT::TVMSNJ C:\WINDOWS\OCGEN.LOG::HPXOF C:\WINDOWS\OCGEN.LOG::HRTBAB C:\WINDOWS\SESSMGR.SETUP.LOG::TVXSUY C:\WINDOWS\STI_TRACE.LOG::KNABY C:\WINDOWS\UK__SUP.01L::JOOAOZ C:\WINDOWS\WINNT.BMP::TTONDW C:\WINDOWS\WMPRFDEU.PRX::IYEITH ################################################ Ich hoffe, ich habe alles richtig gemacht und ich warte auf Ihre geschätzte Hilfe, was ich noch machen muss/darf..... Wie bereinige ich die Treffer (welche genau) von SUPERAntiSpyware ? Welches Button macht die Löschungen? |
Bei MalwareBytes hättest du nur neustarten müssen. Hast du das gemacht? Wenn nicht, mache das bitte. Zu SASW: Schau in der Anleitung unten, da stehts. mfg |
Hi Dark Viruz, sorry, dass ich mich so spät melde. Danke für die gute Hilfe. Klasse Antivirusprogramme. Der Desktop ist wieder clean und die Reiter bei der Anzeige wieder da. Heute habe ich Malwarebytes' Anti-Malware gestartet und er hat nichts mehr infiziertes gefunden. >>>>> Zu SASW: Schau in der Anleitung unten, da stehts.<<<<<< Diese ist auf Englisch (hilft mir nicht so viel). Ich habe aber auf 'weiter' geklickt und es hat alles gelöscht und in Quarantäne gestellt. Heute morgen aber waren diese wieder da (s. Bild). Wie kann man diese Parasiten löschen? Zu Logfile von SmitfraudFix : hat es welche Virus da gegeben, die ich mit Option 2 löschen sollte? Frage: SASW hat sich in der Desktop-Leiste unten rechts "eingenistet". "Anable Real-Time Protektion" ist markiert. Was passiert damit? Benötige ich es noch, oder soll ich es aus der Leiste entfernen? MfG |
Liste der Anhänge anzeigen (Anzahl: 1) Nachtrag: Das genannte Bild: |
Was SmitfraudFix alles entfernt => Klick Zitat:
Zitat:
|
Hi Dark Viruz, danke für die verschiedenen, guten Lösungen :daumenhoc 1.) cwsshredder findet zum Glück keine "Parasiten usw." . 2.) SASW findet Einiges, was ich manuell gelöscht habe. Eine bestimmte Datei und zwar die Sti_Trace.log lässt sich nicht löschen, da sie angeblich in Zugriff ist !!! Gibt es eine Möglichkeit solche Dateien trotzdem zu löschen? 3.) SmitfraudFix ist sehr gut, aber wenn ich den gesicherten Modus starte, dann sind die unzähligen Icon im Desktop total durcheinander und ich muss sie mühsam wieder einordnen. Gibt es auch dafür eine Lösung, dass die Icons da bleiben wo sie waren? Was passiert, wenn ich unter normalen Windows über den cmd.exe den SmitfraudFix starte?!? Klappt es nicht ? Warum muss es im gesicherten Modus gestartet werden? Mit schönem Dank und Gruß aus München |
Hi 1.) Ok 2.) Gib mal den genauen Pfad der Datei an. 3.)SmitfraudFix kannst du doch wieder löschen, du musst es nicht behalten. Wenn du die Anleitung nicht ordnungsgemäß befolgst, bist du selbst Schuld, wenn was nicht gehen sollte. ;) Und im Safe Mode sollte es durchgeführt werden, da in diesem Modus Schädlingsprozesse und deren Reg-Einträge leichter zu entfernen sind. mfg |
Hi, 2.) C:\WINDOWS\Sti_Trace.log 3.) SmitfraudFix: Es geht nicht um das Löschen. Womöglich brauche es bald wieder. >>>>Wenn du die Anleitung nicht ordnungsgemäß befolgst, bist du selbst Schuld, wenn was nicht gehen sollte. <<<<< Bis jetzt habe ich nur damit gesucht gehabt und auf deinen Wunsch hin die Logfile gesendet. Hast du da etwas verdächtiges gefunden? Die Clean-Funktion habe ich nicht gestartet. Mal schauen. Ich werde einmal unter den normalen Windows über den cmd.exe den SmitfraudFix starten (vorher werde ich einen Wiederherstellungspunkt setzen. Kaputt kann nichts gehen... Oder hast du Bedenken? MfG |
Hi, ich übernehm hier :) die Datei C:\WINDOWS\Sti_Trace.log wird ständig von Windows benutzt, deswegen kann man sie nicht löschen. Der Dienst, der auf die Datei zugreift heißt Still Image Monitor und kann über msconfig abgestellt werden. nachzulesen zb hier Smitfraudfix brauchst du nicht unbedingt auszuführen. Im normalen Modus ist der Fix auf jedenfall nicht so wirksam. Poste bitte auch ein neues Hijackthislog. lg myrtille |
Liste der Anhänge anzeigen (Anzahl: 1) Hi myrtille, anbei eine interessante Variante: Ich habe auf die Datei: C:\WINDOWS\Sti_Trace.log eine Verknüpfung auf dem Desktop gemacht und darauf geklickt. Sofort meldete der Windows-Defender eine Warnstufe "schwerwiegend" für TrojanDownloader:Win32/WinShow (Bedeutung: s. unten). Dahinter stecken die Dateien C:\WINDOWS\Sti_Trace.log und die Desktop-Verknüpfung (s. Bild)!!! Ich habe auf "alle entfernen" geklickt und die Verknüpfung war weg, nicht aber die Datei. Danach meldet der Defender: alles okay, obwohl C:\WINDOWS\Sti_Trace.log noch da ist... Erklärung zu: TrojanDownloader:Win32/WinShow: This threat is classified as a Trojan - Downloader. A downloader trojan accesses remote websites in an attempt to download and install malicious or potentially unwanted software. Some downloader trojans target specific files on remote websites while others may target a specific URL that points to a website containing exploit code that may allow the site to automatically download and software or malicious code on vulnerable systems. This threat is detected by the Microsoft antivirus engine. Technical details are not currently available. ------------------------------------------------------------------------------------------------------------------------------------ Anbei die HijackThis - Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:55:45, on 23.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Hardware\Cherry\KeyMan\KeyMan.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\ctfmon.exe C:\Hardware\Cherry\CDI\CDI.exe C:\Utils\INTERNET\IE5MAX\ie5max.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Utils\INTERNET\HijackThis\HiJackThis-202.exe F1 - win.ini: load=c:\elsa-mod\commpro\bin\01comm32.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: FBFBar - {982E186D-7E13-45ac-9789-50B535246E28} - C:\Programme\FRITZ!Box Monitor\fbfbar.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [CherryKeyMan] "C:\Hardware\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe O4 - Global Startup: ie5max.exe.lnk = C:\Utils\INTERNET\IE5MAX\ie5max.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Send to Keyman - C:\Hardware\Cherry\KeyMan\IEMenuExtKeyman.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .MID: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - h**p://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135192205250 O20 - Winlogon Notify: !SASWinLogon - C:\TROJANS-VIREN\SUPERAntiSpyware\SASWINLO.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Hardware\Cherry\CDI\CDI.exe O23 - Service: Indexdienst CiSvcRpcSs (CiSvcRpcSs) - Unknown owner - .exe (file missing) O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Automatische Konfiguration (verkabelt) Dot3svc HotKey Poller (Dot3svc HotKey Poller) - Unknown owner - .exe (file missing) O23 - Service: Fehlerberichterstattungsdienst ERSvcRSVP (ERSvcRSVP) - Unknown owner - .exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: NAP-Agent (Network Access Protection) napagentwinmgmt (napagentwinmgmt) - Unknown owner - .exe (file missing) O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Utils\SiSandra 2005\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe O23 - Service: SSDP-Suchdienst SSDPSRVnapagent (SSDPSRVnapagent) - Unknown owner - .exe (file missing) O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: Volumeschattenkopie VSSAppMgmt (VSSAppMgmt) - Unknown owner - .exe (file missing) O23 - Service: Windows Media Player-Netzwerkfreigabedienst WMPNetworkSvcdmserver (WMPNetworkSvcdmserver) - Unknown owner - .exe (file missing) O23 - Service: Sicherheitscenter wscsvc0190_0900_Warner_MonitorService (wscsvc0190_0900_Warner_MonitorService) - Unknown owner - .exe (file missing) O23 - Service: Konfigurationsfreie drahtlose Verbindung WZCSVCPolicyAgent (WZCSVCPolicyAgent) - Unknown owner - .exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 10238 bytes ------------------------------------------------------------------------------------------------------------------------------------------------ Bemerkungen: der O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\UTILS\0190WA~1.03\0190WA~1\w0svc.exe ist schon längst unbrauchbar, bekomme aber mit fix checked nicht weg. Wenn du was findest, welches raus muss, bitte Bescheid geben. Mit Dank und Gruß |
Hi, Rufe bitte nochmal Hijackthis auf, klicke da auf Open Misc Tool Section und dort auf Open ADS Spy. Klicke auf Scan und anschließend auf Save Log. Poste den erstellten Bericht dann hier. Wie man O23 Einträge richtig fixt kann man zb in der Hijackthis Anleitung nachlesen. :D Zitat:
|
Hi myrtille, adsspy.txt: C:\WINDOWS\KB873333.log : cwjys (87457 bytes) C:\WINDOWS\ModemLog_Creatix V.92 Data Fax Modem.txt : dzrksg (13581 bytes) Bemerkung: Ich habe ein ELSA Office Fax-Modem. Welche Rolle diese ModemLog_Creatix V.92 Data Fax Modem.txt spielt, weiss ich nicht.... Anbei der Text: 03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\tapisrv.dll, Version 5.1.2600 03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\unimdm.tsp, Version 5.1.2600 03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\unimdmat.dll, Version 5.1.2600 03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\uniplat.dll, Version 5.1.2600 03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\drivers\modem.sys, Version 5.1.2600 03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\modemui.dll, Version 5.1.2600 03-31-2005 13:57:38.812 - Datei: C:\WINDOWS\system32\mdminst.dll, Version 5.1.2600 03-31-2005 13:57:38.812 - Modemtyp: Creatix V.92 Data Fax Modem 03-31-2005 13:57:38.812 - Pfad für Modeminformationsdatei: oem15.inf 03-31-2005 13:57:38.812 - Abschnitt in Modeminformationsdatei: MONTBLANC_SA_Modem 03-31-2005 13:57:38.812 - Übereinstimmende Hardwarekennung: pci\ven_11c1&dev_048c&subsys_044c11c1 03-31-2005 13:57:39.281 - 115200,8,N,1, ctsfl=1, rtsctl=2 03-31-2005 13:57:39.281 - Modem initialisieren 03-31-2005 13:57:39.281 - Senden: AT<cr> 03-31-2005 13:57:39.296 - Empfangen: AT<cr> 03-31-2005 13:57:39.296 - Befehlsanzeige 03-31-2005 13:57:39.296 - Empfangen: <cr><lf>OK<cr><lf> 03-31-2005 13:57:39.296 - Interpretierte Antwort: OK 03-31-2005 13:57:39.312 - Senden: AT &F E0 &C1 &D2 V1 S0=0\V1<cr> 03-31-2005 13:57:39.328 - Empfangen: AT &F E0 &C1 &D2 V1 S0=0\V1<cr> 03-31-2005 13:57:39.328 - Befehlsanzeige 03-31-2005 13:57:39.343 - Empfangen: <cr><lf>OK<cr><lf> 03-31-2005 13:57:39.343 - Interpretierte Antwort: OK 03-31-2005 13:57:39.359 - Senden: ATS7=60S30=0L2M1\N3%C1&K3B0B15B2X3<cr> 03-31-2005 13:57:39.359 - Empfangen: <cr><lf>OK<cr><lf> 03-31-2005 13:57:39.359 - Interpretierte Antwort: OK 03-31-2005 13:57:39.359 - Sitzungsstatistik: 03-31-2005 13:57:39.359 - Gelesen: 49 Bytes 03-31-2005 13:57:39.359 - Geschrieben: 0 Bytes LG Cinitron |
Hi, lasse bitte mal Combofix durchlaufen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. lg myrtille |
Hier muss ich mich leider auch mal einmischen. Sind Euch diese Einträge aufgefallen: Code: Infizierte Dateien:C:\WINDOWS\system32\lanmandrv.sys C:\WINDOWS\system32\drivers\Winpl02.sys bei Virustotal.com aus. Stell vorher sicher, daß Dir auch alle Dateien angezeigt werden, poste die Ergebnisse so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen |
@root24, danke für deine Beobachtung. Die Dateien gibt es nicht mehr. Es gibt nur eine C:\WINDOWS\system32\lanman.drv Hi @myrtille, besten Dank für den Tip mit ComboFix und sorry, dass ich so spät reagiert habe (war kurz weg)... Ich habe ComboFix nach Anweisung gestartet und anbei die Logdatei ComboFix.txt. Es zeigt drei Dateien: C:\WINDOWS\system32\Bank.dll C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\rtl60.bpl Muss ich sie manuell löschen? Ich hoffe, dass sonst mein PC "clean" ist und bitte um Feedback nach der Controlle der Logfile. Habe ich richtig verstanden, dass Combofix das automatsche Starten von CD, USB - Geräte zurückgestellt hat? Muss ich da was unternehmen? Mit großem Dank im Voraus und mit lieben Grüßen Cinitron |
Hi, dein Rechner ist definitiv nicht sauber. Lass bitte folgende Datei mal bei virustotal auswerten: Zitat:
|
Hi @myrtille, C:\WINDOWS\system32\drivers\687lozjc.exe Datei lanmanwrk.exe empfangen 2008.08.18 08:16:16 (CET) Status: Beendet Ergebnis: 27/36 (75.00%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - TR/Crypt.XDR.Gen Authentium - - W32/BackdoorX.AEGM Avast - - Win32:Rootkit-gen AVG - - PSW.Agent.TYI BitDefender - - Trojan.Inject.HZ CAT-QuickHeal - - Backdoor.Qmop.a ClamAV - - Trojan.Agent.Qmop DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - Backdoor.Qmop.a F-Prot - - W32/BackdoorX.AEGM F-Secure - - Backdoor.Win32.Qmop.a Fortinet - - W32/Qmop.A!tr.bdr GData - - Backdoor.Win32.Qmop.a Ikarus - - Backdoor.Win32.Qmop.a K7AntiVirus - - Backdoor.Win32.Qmop.a Kaspersky - - Backdoor.Win32.Qmop.a McAfee - - Generic BackDoor Microsoft - - Trojan:Win32/Meredrop NOD32v2 - - - Norman - - W32/Smalltroj.FKUB Panda - - Generic Backdoor PCTools - - - Prevx1 - - Rootkit Rising - - - Sophos - - Mal/Generic-A Sunbelt - - Backdoor.Win32.Qmop.a Symantec - - - TheHacker - - Backdoor/Qmop.a TrendMicro - - BKDR_QMOP.C VBA32 - - Backdoor.Win32.Qmop.a ViRobot - - Backdoor.Win32.Qmop.36352 VirusBuster - - - Webwasher-Gateway - - Trojan.Crypt.XDR.Gen weitere Informationen MD5: 3dda6008dd9c53840b6fb712c779c867 SHA1: 011db9f8c9e05216925c9009ca7d952cb903e400 SHA256: 913e4555670b465068cda61ef04ed0e8963b0b78de3b0dcb6935358224e7e1e9 SHA512: 79c19b5acbf6770e6eb2fe79da55f3748489db2d537bf9d4ad3319cb8b18aeae989ada3d864d1f4b8ce95583d12f943618a0964ff6541921c6079f30a30e9c48 ################################################# C:\WINDOWS\system32\1755331983.dat Datei 283892030.dat empfangen 2008.08.13 22:40:20 (CET) Status: Beendet Ergebnis: 0/35 (0.00%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.8.13.0 2008.08.13 - AntiVir 7.8.1.19 2008.08.13 - Authentium 5.1.0.4 2008.08.13 - Avast 4.8.1195.0 2008.08.13 - AVG 8.0.0.161 2008.08.13 - BitDefender 7.2 2008.08.13 - CAT-QuickHeal 9.50 2008.08.13 - ClamAV 0.93.1 2008.08.13 - DrWeb 4.44.0.09170 2008.08.13 - eSafe 7.0.17.0 2008.08.13 - eTrust-Vet 31.6.6030 2008.08.13 - Ewido 4.0 2008.08.13 - F-Prot 4.4.4.56 2008.08.13 - Fortinet 3.14.0.0 2008.08.13 - GData 2.0.7306.1023 2008.08.13 - Ikarus T3.1.1.34.0 2008.08.13 - K7AntiVirus 7.10.413 2008.08.13 - Kaspersky 7.0.0.125 2008.08.13 - McAfee 5360 2008.08.13 - Microsoft 1.3807 2008.08.13 - NOD32v2 3352 2008.08.13 - Norman 5.80.02 2008.08.13 - Panda 9.0.0.4 2008.08.13 - PCTools 4.4.2.0 2008.08.13 - Prevx1 V2 2008.08.13 - Rising 20.57.22.00 2008.08.13 - Sophos 4.32.0 2008.08.13 - Sunbelt 3.1.1542.1 2008.08.13 - Symantec 10 2008.08.13 - TheHacker 6.3.0.3.046 2008.08.13 - TrendMicro 8.700.0.1004 2008.08.13 - VBA32 3.12.8.3 2008.08.13 - ViRobot 2008.8.13.1335 2008.08.13 - VirusBuster 4.5.11.0 2008.08.13 - Webwasher-Gateway 6.6.2 2008.08.13 - weitere Informationen File size: 32 bytes MD5...: 5e7e954d7eb504af49747a85336da63a SHA1..: c1a385f81c2f3789d7b113599901c4b562491023 SHA256: e8c8ac428fe98b423e983b4251fc6fa45776407223475cc55f03e0d874a9f863 SHA512: b01e7775ffa022f217ebb2bbf7682a7efda47392f649be76ea55edd2c0d16502 9b587dae2f2f27e2c2631e1a602c4f1dfb9aac86eaf12055cb3efa4086866bba PEiD..: - PEInfo: - ############################################ Heute kann ich leider nicht mehr antworten.... LG Cinitron |
Meine Befürchtung hat sich bestätigt, Dein System ist kompromittiert und muss neu aufgesetzt werden: Code: GData - - Backdoor.Win32.Qmop.aBevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist. |
Hi @root24, -------------------------------------------------------------- Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK ------------------------------------------------------------- >>>> Dein System ist kompromittiert und muss neu aufgesetzt werden.... Ist zwar gut vorsorglich gemeint, aber auf keinen Fall kann ich das System "neu aufsetzen"....:confused: Ist es bewiesen, dass diese Backdoor.Win32.Qmop.a immer noch aktiv ist? Und wenn schon, warum kann es nicht "bereinigt" werden?!? Zumindest wird von sehr vielen Antivirus, AntiMalware (auch vom Defender) " nicht als irgendwie gefährlich gefunden/eingestuft. Wie kann man(n/frau) es bereinigen? Mit Dank und Gruß |
Zitat:
Zitat:
Das Problem bei Backdoors ist, dass durch solche Komponenten Dritte unbefugt Vollzugriff auf Deinen PC erlangen können, sie umgehen die existierenden Sicherheitsmaßnahmen einfach auf Deiner Kiste (logisch, deswegen wird das Teil ja auch Backdoor genannt :rolleyes:). Das was jetzt gefunden wurde, konnte nur ein Teil bzw. der erste Anlauf gewesen sein. Einmal Vollzugriff erlangt und der Angreifer kann beliebige Systemdateien ersetzen, wesentlich besser versteckte Hintertüre einbauen. Wenn überhaupt kann man sowas nur mit einem sauberen Live-System wie BartPE, Knoppix oder Knoppicillin erkennen. Ist aber zu aufwendig - sicherer, gründlicher, schneller ist das Neuaufsetzen bei Backdoorbefall. Zitat:
Zitat:
|
Hallo Zusammen Ich glaube das gleiche Problem wie der Threadersteller zu haben. Ich habe Windows XP Professional installiert mit SP3. Antivir und Adware finden nichts! Sogar Firefox ist irgendwie davon befallen, ich werde beispielsweise auf komische Seiten verlinkt wenn ich in der google Suche Stichwörter wie Anti Spyware etc. verwende. Sogar diese Seite liess sich nur über den cache von google öffnen! Was soll ich tun? Gruss, finalcu |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board